Несколько внешних IP для одного или нескольких ПК в одной локальной сети?

Question

[YujiTFD]

Здравствуйте.

Руководство озвучило практический вопрос: можно завести в локальную сеть несколько внешних ("белых") IP и, в зависимости от необходимости, раздать нескольким или присвлить все 10 одному клиенту.

О необходимости подавать заявку в RIPE я оповещён, форма заявки и описание есть, технических препятствий у нашего провайдера нет. Но я никогда не занимался ничем подобным, и слабо представляю реализацию. Вопросы (простите за возможные глупости) навскидку следующие:

- Какое оборудование/ПО потребуется с моей стороны?
- Будет ли это один физический кабель (что-то связанное с VLAN?), несколько, или это вопрос только к провайдеру?
- Небходимо ли будет присваивать конкретным компьютерам конкретные внешние IP или можно(нужно?) будет настроить под это дело NAT?
- Можно ли сетевому интерфейсу присвоить более двух IP? Точнее - сетевому интерфейсу при работе под Windows?

Сейчас всё настроено банально: провайдер -> маршрутизатор -> клиенты на Win (XP/7). Вопросов, скорее всего, будет больше, просто не знаю, с чего начать.

Спасибо заранее.

Comments

[YujiTFD]

Я, наверное, не до конца понятно выразился. В локалке должны сосуществовать ОДНОВРЕМЕННО и белые, и внутренние IP; белые - отдельно, серые, соответственно, отдельно. При этом необходимо, чтобы на ряде рабочих местах (в оригинале было вообще озвучено - на одном) на сетевом интерфейсе сидел один внутренний IP, для доступа к локальным ресурсам, и один (в оригинале - несколько) белых IP.
Короче говоря, чтобы несколько ПО "Банк-Клиент" разных банков использовали каждый свой белый IP.

[Влад Животнев]

@YujiTFD тогда всё равно читайте мой комментарий =)
В принципе, для удобства администрирования в таком случае лучше будет поставить третью сетевую карту, но в целом это делается и на двух (просто nat включается только для серого диапазона адресов), а белые адреса прописываются руками на машинах (или прибиваются к маку по dhcp) и ходят напрямую через бридж.

Answer 1

[Влад Животнев]

Кстати, как вариант тогда - ставить банк клиенты на виртуалки, по одному на одну штуку. Каждой виртуалке давать адрес белый. А остальным - только серые.

Comments

[YujiTFD]

Кстати, да! Виртуалки - это вполне себе может быть выход. Выделенный под бухгалтерию мощный компьютер, выполняющий роль сервера, у нас есть. А под нужды роутинга можно действительно взять mikrotik, настроив раздачу белых IP сетевым интерфейсам на виртуалках, так можно решить и проблему сосуществования в локалке нескольких внешних IP без угрозы безопасности; всё равно ведь эти хосты будут жить в песочнице и запускаться только по мере необходимости!

По большому счёту, если я прав с вышесказанным, осталось разобраться только с правилами для микротика. Или я что0то упускаю?

[Влад Животнев]

@YujiTFD микротик (RouterOS) в данном контексте посложнее линупса будет, наверное. Но мысля верная.

[Сергей]

Не вижу никакой разницы между виртуалкой и физической машиной.
А держать белый IP только для одной программы - ИМХО нерационально.

[Влад Животнев]

@bk0011m а рациональность тут обсуждать перестали давно =)

Железку под одну программу - дорого. А легче всего получить выделенный адрес для программы - поставить её в отдельную ос с отдельным адресом.

К тому же разница между железкой и виртуалкой всё же есть - на виртуалку вряд ли будут тащить всякую гадость, чтобы рейтинг в вк прокачать. Или на странные сайты заходить. Можно вообще завернуть в One-app RDP и проблем не знать.

[YujiTFD]

И опять ДА! :)
Инструкцию по RemoteApp взял отсюда - geekswithblogs.net/twickers/archive/2009/12/18/137...

[Сергей]

@inkvizitor68sl для пользователя нет никакой разницы, виртуалка или нет. Всякую гадость с таким же успехом можно и на виртуалку затащить. Вопрос в другом.
Я вообще не вижу смысла назначать IP отдельным машинам. Как-то по колхозному это. Не проще ли рулить IP на рутере?

[YujiTFD]

Так и сделаю.

[Влад Животнев]

@bk0011m покажите простой в эксплуатации способ рулить IP адресами в пределах одной машины так, чтобы разные софтины ходили наружу с разного белого адреса. Под линуксами я парочку таких способов назову. А под виндой?

Для пользователя разница будет - он будет запускать какую-то гуйню, в которой ему ничего не разрешено делать, кроме как банк-клиент запустить. А в случае с RemoteApp он вообще не будет знать, что этот банк-клиент запущен не с его локальной машины (ну то есть будет догадываться, но что он с этим сделает).

[Сергей]

@inkvizitor68sl А какой смысл виндовую машину наружу выставлять? Рутер однозначно должен быть или железкой или UNIXлайк системой. А на нем рулить IP легко и просто.
А виндовая пусть висит со своим RDP в ДМЗ за натом

[Влад Животнев]

@bk0011m ну ок, поставили вы роутер, поставили виндовую машину за DMZ (который, кстати, не подразумевает того, что весь исходящий трафик этой машины будет ходить через правильный внешний адрес).
Дальше то что? Как вы приложения по адресам внутри винды разносить будете? Ок, пусть не внутри винды, а на шлюзе.

[Сергей]

@inkvizitor68sl В смысле внутри винды? Я как понял, у человека куча виндовых машин и он собрался на них внешние IP вешать. так?
Так что там тогда разносить то?

[Влад Животнев]

@bk0011m у человека несколько банк-клиентов (ну или других похожих софтин), каждый из которых должен работать с отдельного внешнего адреса, на котором больше ничего работать не должно.

[Сергей]

@inkvizitor68sl Ок. Тогда что мешает разнести их по портам? Не думаю что они все на одном порту сидят.

[Влад Животнев]

@bk0011m вы какую-то херню придумываете уже сидите, простите.

Человеку нужен простой и понятный способ решить его задачу. Предлагать ему в данном случае пляски с угадыванием портов для каждой софтины, port-based роутинга и прочих няшностей ip ro + fwmark - примерно то же самое, что предлагать человеку, который просит подвезти его до дома с работы, собрать вертолет самому и полететь на нём.

Порт может поменяться. Банк клиенты могут работать на одном порту (у половины банков один и тот же бк на java). Более того, половина остальных банк-клиентов - ничто иное, как браузерный апплет, который работает, внезапно, по 443-му порту (а адресочки иногда меняются, да). В итоге следить за всей
той конструкцией - ад кромешный.

[Сергей]

@inkvizitor68sl Я не несу херню, а говорю конкретно по той информации что есть.
Банк клиенты бывают разные, и не все на Java и подобное.
Порты тоже у них разные. Вычислить какой порт использует программа - плевое дело. Для нормального админа, вроде меня займет не более минуты.
И для меня не проблема развесить программы на одном хосте на разные IP.
Если интересно, вот, изучайте: www.openbsd.org/faq/pf/ru/nat.html

[YujiTFD]

Стоп, ребята, брейк!
Я понимаю прелести гибкого администрирования в лице форвардинга, маскарадинга и прочей красоты, но весь этот цирк с конями, боюсь, не оценят. Не те масштабы, чтобы курить маны по фре, нет такой необходимости.
Я сейчас соберу мозги в кулак и буду раскладывать всё по полочкам. Спасибо всем ещё раз!

[Влад Животнев]

@bk0011m ну вот и оставайтесь нормальным админом, который за минуту находит порт, который использует программа (кстати, долго).
Я же останусь, пожалуй, ненормальным, который читает задачи и понимает, кому эту задачу реализовывать и насколько понятной система должна быть.
Сидите себе, проверяйте каждый день, что у бк не сменился порт/чтототам ещё. Можете даже мониторинг написать ;)
Благо, таких не берут в космонавты.

[Сергей]

@inkvizitor68sl Разговор шел не обо мне вообще то.
Вы утверждали что невозможно приложения развесить на разные IP. Я доказал что возможно.
Другое дело нужно ли в данной ситуации. Если у человека есть деньги и ресурсы, то можно легко плодить виртуалки и хосты.
Если денег нет, то мой вариант реально выгоднее и красивее с точки зрения администрирования.
А уж какой вариант он выберет - его дело.
Как говорится можно гвозди и золотым подсвешником забивать, но молотком удобнее.
А вот вам незачет за то что вы незная элементарных вещей, пытаетесь выставить меня идиотом. Мне противно с Вами общаться. Надеюсь больше не придется.

[Влад Животнев]

@bk0011m вы ничего не доказали, а только дали ссылку на мануал по pf (которого топикстартер в глаза не видел).

Более того - ваше "красивое" решение может в любой момент сломаться с обновлением какого-либо бк (а они могут и в фоне обновляться).

Надеюсь, вы никогда и ничего админить не будете. Удачи.

Answer 2

[oia]

Пров дает /28 по проводу все это входит в коммутатор а там вы подрубаете оборудование которому даете белые ИП

Comments

[YujiTFD]

Хмм, ну, допустим. А какого класса коммутатор должен быть? Как я отметил выше, управляемого сетевого оборудования у нас нет, а единственным провод от провайдера заходит в SOHO-роутер EA2700, откуда идёт витая пара к неуправляемым свитчам, и далее к клиентам.

[oia]

ели вам VLAN строить не надо то любой мы использовали Allied Telesis AT-FS750/16

[oia]

а что мешает дать два ип на системе один локалка , второй белый

[oia]

пров может попросить заполнить ripe-488-filled ip /28

#[GENERAL INFORMATION]#

request-type: pa-ipv4

form-version: 1.1

x-ncc-regid: ua.topnet пров

#[ ADDRESS SPACE USER ]#

legal-organisation-name: ChP ** название компании

organisation-location: Ukraine, Kyiv 04073, pr.Moskovskiy 25

website-if-available: www.*.ua

space-available: NO

addresses used: NO

#[ADDRESSING PLAN]#

number-of-subnets: 1

subnet: /28 /28 /28 Operations

totals: /28 /28 /28

netname: название компании

address-space-returned: None

#[EQUIPMENT DESCRIPTION]#

equipment-name: Servers

manufacturer-name: NoName

model-number: various

other-data: from 4 units

equipment-name: Routers

manufacturer-name: NoName

model-number: various

other-data: from 4 units

#[NETWORK DESCRIPTION]#

We'll use SMTP, WWW, VPN, File servers etc.

#[NETWORK DIAGRAM]#

diagram-attached: No

#[END OF REQUEST]#

Answer 3

[Sergey SA]

RIPE,несколько внешних IP....

О ripe
1) Выделяет AS и адреса. сеть /24(255 адресов) - минимум.
2) сейчас с ipv4 напряг.
3) Для регистрации в RIPE нужно платит взнос - нехилый (добровольно принудительно).

Вам нужно договорится с вашим провайдером, чтобы он выделил вам из своей внешний сети маленькую подсеть (размер в зависимости от потребностей) и маршрутизировал трафик к вам.

Со своей стороны вам необходимо роутер и настройка NAT (один-в-один,внешний адрес однозначно транслируется во внутренний).
РОутер - по финансам, от mikrotik до cisco,juniper ....
Ну и все-таки разобраться с настройкой.

Comments

[YujiTFD]

Спасибо за информацию по RIPE, я уточню у провайдера, от кого исходят требования и какие предполагаются затраты на огранизацию /28.

А вот за упоминание микротиков - грам мерси! Я ведь уже работал с ними, их возможностей хватит за глаза, а про цену Juniper даже думать страшно! :D

Answer 4

[Влад Животнев]

SOHO роутер вам не подойдет, само собой.
Самое дешевое - Linux-сервер с двумя сетевыми картами, между которыми поднят bridge, включен ipv4_frowarding, одна сетевая торчит наружу, вторая в сеть (со стороны сети уже может быть самый обычный свич). Будут советовать использовать iptables для роутинга трафика - гоните таких советчиков в шею. Это банальный роутинг без NAT-а, без всего.

От провайдера вам нужно получить подсеть на нужное количество адресов - здесь уже начнутся сложности. Впрочем, если провайдер подсеть выдаст - то ни в какой RIPE ходить не нужно (да и не выдаёт RIPE сейчас адреса никому).

Answer 5

[YujiTFD]

Я немного обновил вопрос для ясности. NAT, получается, всё-таки нужен для локальных ресурсов. Или нет? В общем, пока получаетсятак: кабель один (это я понял), в нём - подсеть, и я должен организовать эту подсеть в соответствии с нуждами, верно?

Про RIPE - это инициатива провайдера: когда я спросил про несколько внешних адресов, он мне скинул заявку в RIPE, я отталкиваюсь от предположения, что без этого работа дальне не пойдёт.

Comments

[Влад Животнев]

@YujiTFD если провайдер выдаёт свои адреса - то с RIPE никаких проблем не будет, вам просто нужно будет написать подо что вы их будете использовать (возможно, отправить им бумажки про оплату этого железа).
Это штатная процедура, её сейчас нужно проходить у всех хостеров, если подсеть у них покупаете.

Если провайдер предлагает вам самостоятельно решить все вопросы с RIPE и получить адреса у них адреса напрямую - печалька. Проще найти нового провайдера - дешевле будет, даже если сам провайдер в 2 раза больше денег дерет.

[Влад Животнев]

хостеров и провайдеров*, само собой.

Answer 6

[oia]

Короче говоря, чтобы несколько ПО "Банк-Клиент" разных банков использовали каждый свой белый IP.

а тут будут траблы если будет на одном ПК так как ПО надо будет маршрутизировать исходящий траф на каждый Клиент банк отдельно

Answer 7

[kodi]

@YujiTFD
Судя по Вашим вопросам, знаний у Вас очень мало по данной теме.
Вы понимаете, что Вы хотите дать белые ip-адреса(!) машинам c Windows(!) на которых будет стоять Банк-Клиент(!) приложение? Обратите внимание на три фактора которые я выделил!
Даже если Вы реализуете схему, которую сейчас озвучили. То в ближайшее время очень многовероятно кто-то воспользуется Вашим банковским приложением и деньги Вашей организации будут не Ваши.

Имхо, такой подход в корне не верный, поэтому я не стал давать совет по Вашему вопросу.

Comments

[YujiTFD]

Простите, вы зашли самоутвердиться за мой счёт или что? "Вы такой дурак, поэтому я вам ничего не скажу" - это что вообще?

Лично я сам не хочу давать белые ip-адреса(!) машинам c Windows(!) на которых будет стоять Банк-Клиент(!) приложение, это, как раз, пожелание руководства. Мне же нужно построить схему, где отдельный Банк-Клиент будет иметь свой внешний ip, и я пытаюсь понять, как это будет можно сделать с минимальными затратами денег, времени и нервов, и перебираю варианты, озвучивая все, что придёт в голову. Это озвучено в уточнении к вопросу уже очень давно.

Такой вариант развития событий вас больше устраивает, смените гнев на милость?

Answer 8

[Сергей]

Ненужно виртуалкам ничего "внешнего" давать
Все внешние IP адреса должны принадлежать рутеру.
Все компьютеры в сети должны иметь внутренние адреса.
Компьютеры, у которых должны быть внешние адреса, ставим в ДМЗ
Каждому из них сопоставляем необходимый внешний IP на рутере.
Такая схема легко реализуется если в качестве рутера FreeBSD и файрволом PF. Могу даже кусок правил кинуть, если надо.
Сложнее будет если нужно чтоб эти компьютеры были доступны снаружи. Но это тоже решается через редирект.
Ни в коем случае не вывешивайте ничего кроме рутера наружу. Рискуете потерять данные и нахватать всякой нечисти

Comments

[Сергей]

Поясню немного.
Кабель от провайдера приходит в рутер.
Назначаем рутеру внешний IP, остальные вешаем как альясы на тот же интерфейс.
Остальное рулим правилами в файрволе, делаем пробросы и все внутренние серверы прячем за натом.
лучше всего попотеть над правилами и сделать пробросы по портам с указанием протокола. Так снизим риск взлома к минимуму.
Исходящий трафик тэгируем и выпускаем с нужных IP, так сказать сопоставив нужный IP с нужным сервером внутри локалки..
Надеюсь понятно объяснил.

[YujiTFD]

Достаточно понятно, спасибо. Только фрю под это заводить мне кажется нецелесообразным (не востребована у нас FreeBSD, масштабы не те). Я действительно лучше микротиком обойдусь, но за описание правил - спасибо, буду работать в этом направлении.